Ajouter un rôle de service - AWS Amplify Hébergement
Création d'un rôle de service Prévention de l’adjoint confus

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajouter un rôle de service

Amplify a besoin d'autorisations pour déployer des ressources de backend avec votre front-end. Pour cela, vous utilisez un rôle de service. Un rôle de service est le rôle AWS Identity and Access Management (IAM) qu'Amplify assume lorsqu'il appelle d'autres services en votre nom. Dans ce guide, vous apprendrez à créer un rôle de service Amplify doté d'autorisations administratives de compte et autorisant explicitement un accès direct aux ressources dont les applications Amplify ont besoin pour déployer, créer et gérer des backends.

Création d'un rôle de service

Pour créer un rôle de service

  1. Ouvrez la console IAM et choisissez Rôles dans la barre de navigation de gauche, puis choisissez Créer un rôle.

  2. Sur la page Sélectionner une entité de confiance, choisissez Service AWS . Pour Cas d'utilisation, sélectionnez Amplify, puis Next.

  3. Sur la page Ajouter des autorisations, sélectionnez Suivant.

  4. Sur la page Nom, affichage et création, pour Nom du rôle, entrez un nom significatif, tel queAmplifyConsoleServiceRole-AmplifyRole.

  5. Acceptez toutes les valeurs par défaut et choisissez Créer un rôle.

  6. Retournez à la console Amplify pour associer le rôle à votre application.

    • Si vous êtes en train de déployer une nouvelle application

      1. Actualisez la liste des rôles de service.

      2. Sélectionnez le rôle que vous venez de créer. Pour cet exemple, cela devrait ressembler à AmplifyConsoleServiceRole- AmplifyRole

      3. Choisissez Next et suivez les étapes pour terminer le déploiement de votre application.

    • Si vous avez déjà une application

      1. Dans le volet de navigation, choisissez Paramètres de l'application, puis Paramètres généraux.

      2. Sur la page des paramètres généraux, choisissez Modifier.

      3. Sur la page Modifier les paramètres généraux, sélectionnez le rôle que vous venez de créer dans la liste des rôles de service.

      4. Choisissez Enregistrer.

  7. La console Amplify est désormais autorisée à déployer des ressources de backend pour votre application.

Prévention de l’adjoint confus

Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. Pour plus d’informations, consultez Prévention du problème de l’adjoint confus entre services.

Actuellement, la politique de confiance par défaut pour le rôle de Amplify-Backend Deployment service applique les clés de condition aws:SourceArn contextuelle et aws:SourceAccount globale afin d'éviter toute confusion chez les adjoints. Toutefois, si vous avez déjà créé un Amplify-Backend Deployment rôle dans votre compte, vous pouvez mettre à jour la politique de confiance du rôle afin d'ajouter ces conditions afin de vous protéger contre la confusion chez les adjoints.

Utilisez l'exemple suivant pour restreindre l'accès aux applications de votre compte. Remplacez la région et l'ID de l'application dans l'exemple par vos propres informations.

"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }

Pour obtenir des instructions sur la modification de la politique de confiance pour un rôle à l'aide de AWS Management Console, consultez la section Modification d'un rôle (console) dans le guide de l'utilisateur IAM.